Die komplette Wahrheit über Viren & Co.

Donnerstag, 11. Februar 2021

Dass man Software rechtzeitig aktualisieren sollte, ist eine der häufigsten Empfehlungen, die Sie in unseren Ausgaben der "Wahrheit" immer wieder finden werden. Betriebssysteme, Anwendungen und Gerätesoftware – von Smartphones bis hin zu Netzwerkgeräten – erfordern regelmäßige Kontrolle. In dieser Ausgabe gehen wir der Frage nach, wie Ihre Sicherheit unter anderem davon abhängt, dass Ihre Software auf dem neuesten Stand ist.

Warum sollten Sie Updates, neue Firmware und Patches überhaupt installieren? Ein Beispiel ist das Betriebssystem Windows: Es wird ständig aktualisiert, ohne dass es zu sichtbaren Änderungen im Systembetrieb kommt. Man hat die automatischen Updates deaktiviert – alles funktioniert einwandfrei, lästige Dauerbenachrichtigungen sind nun deaktiviert. Was ist mit dem Router? Das Gerät funktioniert einwandfrei, ohne dass es in Betrieb ist. Außerdem ist die Installation einer neuen Firmware keine einfache Sache. Alles läuft gut, zieht man Bilanz.

Leider vertreten viele Anwender immer noch diese Ansicht, insbesondere wenn Software-Updates ein direktes Eingreifen erfordern, zum Beispiel die Installation einer neuen Firmware auf einem Heimrouter. Anders sieht es bei den Updates für Smartphones und andere mobile Geräte aus. Die Angst, dass eine neue Version des Betriebssystems ein schnelles Gerät in einen unbrauchbaren Ziegelstein verwandelt, ist immer noch verbreitet. Ein normaler Benutzer bringt Sicherheit in der Regel nicht mit Software-Updates in Verbindung. Und das ist kein guter Ansatz, denn die seltene Aktualisierung setzt voraus, dass Software-Bugs und Sicherheitslücken nicht behoben werden.

Diese Situation ist ein wahrer Segen für Cyberkriminelle. Die Fähigkeit, Schwachstellen zu finden und auszunutzen, ist die Grundlage für Angriffe auf Computersysteme, zum Beispiel, um ein System zum ersten Mal zu infizieren, um Fuß zu fassen, um Privilegien zu erlangen und so weiter. In den meisten Fällen erlaubt das Ausnutzen einer bestimmten Schwachstelle einem Hacker die Ausführung von "beliebigem Code". In unserem Fall bedeutet "beliebig" den Code, den der Angreifer benötigt. Somit haben Angreifer mit Rechten, beliebigen Code auszuführen, unbegrenzten Spielraum. Leider führt dies dazu, dass die Benutzer dieser Art von Angriffen massiv ausgesetzt sind.

Es gibt ein weiteres Beispiel. Erinnern Sie sich an den berüchtigten Kryptowurm WannaCry und seine zahlreichen Modifikationen? Dieser Netzwerkwurm nutzte eine SMB-Protokollschwachstelle mit der Bezeichnung CVE-2017-0144 für seine Erstinfektion. Der Fehler im Protokoll wurde 2017 zusammen mit der Veröffentlichung des entsprechenden Windows-Updates behoben. Dreieinhalb Jahre später verzeichnet unser Virenlabor immer noch Fälle, wo Computer mit Malware infiziert sind, welche diese ungepatchte Sicherheitslücke ausnutzt. Bedeutet das, dass die Entwickler das Problem nicht behoben haben? Nein, das bedeutet, dass Benutzer seit Jahren keine Software-Updates, einschließlich kritischer Sicherheitsupdates (Hotfixes), durchgeführt haben.

Betriebssysteme und Anwendungen auf dem neuesten Stand zu halten, ist ganz einfach: Aktivieren Sie automatische Updates. Allein diese Maßnahme trägt spürbar zur Sicherheit Ihres Systems bei. Es sind aber nicht nur PCs und Smartphones, die überwacht werden müssen.

Der eigentliche Stolperstein für automatische Updates sind Netzwerkgeräte und insbesondere Router. In vergangenen Ausgaben haben wir bereits die Folgen erfolgreicher Angriffe auf Router diskutiert. Es ist wichtig zu verstehen, dass diese Geräte ein Hauptangriffsziel für Cyberkriminelle sind. Dafür gibt es folgende Gründe:

1. In einem typischen Heimnetzwerk ist der Router auch ein DNS-Server, und der gesamte Internetverkehr läuft über ihn. Er enthält auch einen Cache, um Anfragen zu optimieren. Das Hacken eines Routers ermöglicht das Sniffen des gesamten Datenverkehrs, einschließlich des verschlüsselten HTTPS-Verkehrs, mittels eines MITM-Angriffs (Man in the middle). In diesem Fall liegt der Router "in the middle". Nachdem der Angreifer die Kontrolle über DNS erlangt hat, kann er alles tun, was er gerne möchte. So kann er den Benutzer auf eine gefälschte Online-Banking-Webseite umleiten. Nach der Eingabe von Benutzerdaten wird das Opfer auf eine echte Seite der Bank umgeleitet und vermutet dabei keinen Betrug. Der Hacker hat aber im Endeffekt seine Anmeldedaten.
2. Der Router ist das zentrale Bindeglied im Heim-LAN, mit dem wiederum die anderen Geräte – wie Computer, Smartphones, Fernseher, Haushaltsgeräte usw. – verbunden sind. Jedes dieser Geräte ist ebenfalls potenziell anfällig. Aber um an sie heranzukommen, muss sich ein Angreifer zunächst Zugang zu Ihrem Router verschaffen. Ein intelligentes Gerät in Ihrem Netzwerk könnte für einen Angriff von außen anfällig sein, wenn es so konfiguriert ist, dass es Ports "weiterleitet" (z.B. durch das Gerät selbst mittels UPnP). Das ist aber ein Thema für eine andere Diskussion.
3. Ein Router ist ein hervorragendes Ziel für Botnet-Betreiber. Im Gegensatz zum PC ist ein Netzwerkgerät in der Regel rund um die Uhr in Betrieb und seine Rechenleistung reicht aus, um als Botnet-Zelle zu funktionieren. Botnets sind sehr schwer anzugreifen, da Anfragen von Hunderttausenden von Adressen ausgehen können. Mehr zu Botnets lesen Sie in dieser Ausgabe.

Warum sind Router anfällig? Fangen wir zunächst mal mit Firmware an. Wie jede Software kann auch sie Fehler aufweisen. Sowohl Sicherheits-Spezialisten als auch Hackergruppen sind auf der Suche nach solchen Firmware-Fehlern. Aus offensichtlichen Gründen sind beliebte Telefonmodelle gefährdet: Die Ausnutzung einer einzigen Sicherheitslücke kann eine große Anzahl von Geräten kompromittieren. Dazu wird das sogenannte Reverse Engineering eingesetzt: Man nimmt einen bekannten Router, lötet seinen Chip aus, macht einen Dump der Firmware oder lädt sie einfach von der Website des Herstellers herunter, zerlegt und analysiert den Code, findet darin eine Lücke und findet heraus, wie man diese ausnutzen kann. Das nennt man eine Schwachstelle. So ist Ihr Gerät mit veralteter Firmware ein perfektes Ziel für einen neugierigen Hacker.

Natürlich sind Angreifer nicht nur auf der Suche nach Routern mit anfälliger und veralteter Firmware. Durch Netzwerk-Scans sucht man nach verfügbaren Geräten, bei denen es sich oft um falsch konfigurierte Router handelt, die entweder für direkte Verbindungen von außen zugänglich sind (z. B. Telnet oder SSH) oder andere anfällige Dienste verwenden. Ein zusätzliches Risiko besteht darin, dass der Router eine weiße IP-Adresse hat, da er für direkte Verbindungen von überall auf der Welt erreichbar ist, während Router mit einer grauen Adresse nur vom lokalen Netzwerk des Internetanbieters aus erreichbar sind.

Bisher haben wir über einen Angriff auf den Router "von außen" gesprochen. Es ist aber auch möglich und viel einfacher, dies vom lokalen Netzwerk aus zu tun. Ein Router kann durch einen Trojaner gehackt werden, der nach der Infektion des Computers versucht, Zugriff auf das Netzwerkgerät zu erhalten, z. B. durch Brute-Forcing von Passwörtern. Eine recht effektive Methode, wenn man bedenkt, dass viele Router über ein Standardpasswort verfügen. Außerdem reagieren die meisten Router nicht auf Brute-Force-Versuche, selbst wenn ein Nicht-Standard-Passwort festgelegt ist. Ein Beispiel für einen solchen Trojaner ist Trojan.Rbrute.

Die oben beschriebenen Probleme sind weit verbreitet, einschließlich der Tatsache, dass die Router-Software seit Jahren nicht mehr aktualisiert wurde – es gibt eine riesige Anzahl an verwundbaren und bereits kompromittierten Netzwerkgeräten auf der Welt. Es stellt sich die Frage: Warum setzen die Hersteller nicht zwingend automatische Updatesysteme ein? Dafür gibt es mehrere Gründe.

Erstens kann ein wichtiger Kanal über den Router organisiert sein, und die Installation einer neuen Firmware führt zu einer Unterbrechung der Verbindung. In einigen Fällen kann dies kritisch sein, sodass der Prozess durch Menschen überwacht werden muss.

Zweitens kann ein plötzlicher Stromausfall während des Aktualisierungsvorgangs dazu führen, dass das Gerät "gebrannt" wird. Schließen Sie Ihren Router oft an eine unterbrechungsfreie Stromversorgung an?

Drittens hat jedes Gerät seine Lebensdauer – der Zeitraum, in dem der Hersteller Updates dafür freigibt. Alte Geräte sind für den Hersteller nicht interessant, sie können aber jahrelang funktionieren.

Schließlich kann ein Benachrichtigungssystem, das lediglich nach Updates sucht und den Benutzer auffordert, diese zu installieren, von diesem als unnötige, lästige Funktion empfunden werden, die so schnell wie möglich abgeschaltet werden muss. Daher gehen die Hersteller oft den Weg des geringsten Widerstands.

Erwähnenswert ist hier, dass die meisten modernen Geräte über automatische Updatesysteme verfügen. Die oben genannten Probleme gelten auch für diese Updatesysteme.

Was ist also zu tun? Die Antwort: Seien Sie vorsichtig, prüfen Sie Ihre Software auf Updates und installieren Sie neueste Firmware auf Ihren Routern. Das Gleiche gilt für die Wartung von Geräten. Das Internet der Dinge boomt, und viele Hersteller versuchen, das eine oder andere Marktsegment möglichst schnell zu erobern. Eile bei der Entwicklung erweist sich aber als nachteilig für die Sicherheit. Ignorieren Sie also keine Updates. Wenn ein Sicherheits-Patch verfügbar ist, bedeutet dies, dass es eine Sicherheitslücke gab.